linux4表5链,linux防火墙，四表五链以及基本配置

四表五链：

iptables规则链(ipchains)

规则链：规则的集合体

规则的作用：对数据包进行过滤或处理。

链的作用：容纳各种防火墙的规则

链的分类依据:处理数据包的不同时机

默认的5种规则链(分类依据按照时机来划分的)

1、PREROUTING：在进行路由选择前处理数据包

2、INPUT：处理入站数据包

3、OUTPUT：处理出站数据包

4、FORWORD：处理转发数据包

5、POSTROUTING：在进行路由选择后处理数据包

规则表：容纳各种规则链

功能表：

filter：过滤，确认是否放行该数据包。

nat：network address translation 网络地址转换(修改数据包中的源、目标IP地址或端口。)

mangle：拆解报文，做出修改，封装报文，主要为数据包设置标记

raw：关闭nat表上启用的连接追踪机制，确定是否对该数据包进行状态跟踪

规则链之间的顺序

流入：PREROUTING---> INPUT

流出：OUTPUT ---> POSTROUTING

转发：PREROUTING ---> FORWARD ---> POSTROUTING

优先级次序：Raw(跟踪)>mangle(标记)>nat(修改)>fliter(过滤)

================================================================================================================================

增：

追加：

iptables -A INPUT/OUTPUT(链名) -p (协议) tcp/udp 可以指定网卡(用-i 和-o 参数)，可以指定源地址/目标地址(-d -s ) --dport (指定端口号) -j ACCEPT

插入：

iptables -I(默认第一)可以指定序号

实例:iptables -I INPUT -p tcp --dport 80 -j ACCEPT

删：

表名默认是fitler可以省略，但是链名一定要加(如：INPUT )

iptables -t 表名(可以省略不计) -D链序号 (第几条策略，从上往下 )

改:

iptables -R INPUT/OUTPUT 7(一定要跟对应链的序号) -p tcp --dport 80 -j ACCEPT

查：

service iptables status

iptables -t 接想要查询的表名(有四个) -L

iptables -L -v -n

iptables -vnL (有参数顺序的要求)

备注:

drop是丢弃

reject是拒绝

================================================================================================================================

实例:

故障录波服务器:192.168.202.170

出方向:

iptables -I OUTPUT -p tcp -d 192.168.202.100 -m multiport --dports 2181,9092 -j ACCEPT

入方向:

iptables -I INPUT -p tcp -s 192.168.202.100 -m multiport --sports 2181,9092 -j ACCEPT

网安服务器:192.168.202.100

出方向:

iptables -I OUTPUT -p tcp -d 192.168.202.170 -m multiport --sports 2181,9092 -j ACCEPT

入方向:

iptables -I INPUT -p tcp -s 192.168.202.170 -m multiport --dports 2181,9092 -j ACCEPT